• IT-Karriere:
  • Services:

Git und Co: Bösartige Code-Repositories können Client angreifen

Mittels spezieller SSH-URLs kann ein Angreifer Code in den Client-Tools von Quellcode-Verwaltungssystemen ausführen. Der Fehler betrifft praktisch alle verbreiteten Quellcode-Verwaltungssysteme wie Git, Subversion, Mercurial und CVS.

Artikel veröffentlicht am , Hanno Böck
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen.
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen. (Bild: GIT Logo / Jason Long/CC-BY 3.0)

Ein Mitarbeiter der Firma Recurity Labs hat eine Sicherheitslücke gefunden, die in ähnlicher Weise alle gängigen Quellcode-Verwaltungssysteme betrifft. Ursprünglich entdeckt wurde der Bug in einer Erweiterung namens Git LFS, die dazu dient, große Dateien in Git-Repositories zu verwalten. Doch wie sich herausstellt, sind auch Git selbst sowie dessen Konkurrenten Subversion und Mercurial betroffen. Auch das uralte CVS hat einen ähnlichen Bug.

Stellenmarkt
  1. Qvest Media GmbH, Köln, Halle (Saale)
  2. QEST Quantenelektronische Systeme GmbH, Holzgerlingen

Repositories, auf die über SSH zugegriffen wird, können in Git mit einer URL der Form ssh:// referenziert werden. Wenn man in diese URL Kommandozeilenoptionen mit übergibt, werden diese ungefiltert an SSH weitergegeben. Eine solche URL könnte dann etwa so aussehen: ssh://-oProxyCommand=gnome-calculator

ProxyCommand in URL erlaubt Codeausführung

In diesem Fall wird die Option ProxyCommand von OpenSSH gesetzt. Diese Option ist eigentlich dazu gedacht, die Ausgabe von Befehlen über eine SSH-Verbindung zu tunneln. Sie kann hier aber mißbraucht werden, um Code auszuführen.

Relevant ist dieses Szenario, wenn ein Nutzer Code von einem nicht vertrauenswürdigen Server auscheckt, der den Angriff durchführt. Im Fall von Git kann der Server etwa in das Repository ein Git-Submodul mit einer solchen bösartigen URL einfügen und damit Code auf dem Client ausführen.

Git, Subversion und Mercurial haben koordiniert neue Versionen veröffentlicht, die die entsprechenden Lücken beheben. Diese haben die IDs CVE-2017-1000117 (Git), CVE-2017-9800 (Subversion) und CVE-2017-1000116 (Mercurial).

Auf der Mailingliste oss-security wies ein Nutzer darauf hin, dass CVS von dem Problem ebenfalls betroffen ist. CVS war lange Zeit ein sehr beliebtes Quellcode-Verwaltungstool, inzwischen wird es jedoch nur noch von wenigen Projekten genutzt. Die letzte Version wurde 2005 veröffentlicht. Mit einem offiziellen Fix ist also eher nicht zu rechnen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

RandomCitizen 14. Aug 2017

Das kenne ich gar nicht. Wo kann man -- eingeben und was macht das?


Folgen Sie uns
       


Assassin's Creed Valhalla angespielt

Im Video zeigt Golem.de selbst aufgenommenes Gameplay aus Assassin's Creed Valhalla. In dem Actionspiel treten die Spieler als Wikinger in England an.

Assassin's Creed Valhalla angespielt Video aufrufen
Indiegames-Rundschau: Stadtbaukasten trifft Tentakelmonster
Indiegames-Rundschau
Stadtbaukasten trifft Tentakelmonster

Traumstädte bauen in Townscaper, Menschen fressen in Carrion und Bilderbuchgrusel in Creaks: Die neuen Indiegames bieten viel Abwechslung.
Von Rainer Sigl

  1. Indiegames-Rundschau Licht aus, Horror an
  2. Indiegames-Neuheiten Der Saturnmond als galaktische Baustelle
  3. Indiegames-Rundschau Dunkle Seelen im Heavy-Metal-Rausch

Golem on Edge: Wo Nachbarn alles teilen - auch das Internet
Golem on Edge
Wo Nachbarn alles teilen - auch das Internet

Mehr schlecht als recht arbeiten zu können und auch nur dann, wenn die Nachbarn nicht telefonieren - das war keine Dauerlösung. Wie ich endlich Internet in meine Datsche bekommen habe.
Eine Kolumne von Sebastian Grüner

  1. Anzeige Die voll digitalisierte Kaserne der Zukunft
  2. Keine Glasfaser, keine IT-Kompetenz Schulen bemühen sich vergeblich um Geld aus dem Digitalpakt
  3. Kultusministerien Schulen rufen kaum Geld aus Digitalpakt ab

Pixel 4a im Test: Google macht das Pixel kleiner und noch günstiger
Pixel 4a im Test
Google macht das Pixel kleiner und noch günstiger

Google macht mit dem Pixel 4a einiges anders als beim 3a - und eine Menge richtig, unter anderem beim Preis. Im Herbst sollen eine 5G-Version und das Pixel 5 folgen.
Ein Test von Tobias Költzsch

  1. Smartphone Google stellt das Pixel 4 ein
  2. Android Googles Dateimanager erlaubt PIN-geschützten Ordner
  3. Google Internes Dokument weist auf faltbares Pixel hin

    •  /